derwowusste
Goto Top

Fragwürdige Arbeitsweise des Sicherheitseventlogs

Ich grüße alle Admins!

Bei weiteren Untersuchungen angelehnt an meinen Tipp Windows-Security-Eventlog war umgehbar habe ich Folgendes herausgefunden (getestet auf einem gepatchten Windows Server 2019):

  • Die GPO System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können hat keinerlei Effekt! D.H., ist das Log beispielsweise voll (neue Events überschreiben alte nicht ist eingestellt), dann fährt das System NICHT wie erwartet sofort runter.
  • Wenn der Eventlogdienst abstürzt oder per Taskkill abgeschossen wird, werden die Events zwar nachgetragen, sobald der Dienst wieder läuft (Auto-Restart nach 60 Sek. ist der Default), jedoch werden diese nachgetragenen Events nicht genau wie aktuell auftretende Events abgearbeitet: an bestimmte Events geknüpfte Eventtrigger werden nämlich NICHT ausgelöst.

Ich habe dazu bei MS Q&A einen Thread gestartet: https://learn.microsoft.com/en-us/answers/questions/1160544/the-security ...

Wenn Ihr daran interessiert seid, klickt dort doch bitte auf "I have the same question".
Auch würde mich interessieren, ob jemand das bei anderen OS' nachstellen kann (win10/11/server2016/2022), falls Ihr diese gerade als Test-VM zur Hand habt.

Nun zur Frage face-smile
Hat die verlinkte GPO bei einem von Euch irgendwo JEMALS funktioniert?
Ich muss gestehen, wir haben sie zwar immer gesetzt, aber in den letzten 10 Jahren zumindest nie getestet.

Content-Key: 5331990828

Url: https://administrator.de/contentid/5331990828

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: jsysde
jsysde 15.01.2023 um 10:16:54 Uhr
Goto Top
Moin.

Ey, mann, ey - immer, wenn ich mir denke: Puh, ruhigeres Fahrwasser/alles soweit im Lot, kommt @DerWoWusste mit sowas ums Eck! face-smile
Btw: Danke dafür!

Zitat von @DerWoWusste:
[...]Nun zur Frage face-smile
Hat die verlinkte GPO bei einem von Euch irgendwo JEMALS funktioniert?
Ich muss gestehen, wir haben sie zwar immer gesetzt, aber in den letzten 10 Jahren zumindest nie getestet.
Gesetzt ist die, ich versuche grad, das zu reproduzieren.
Und ja, ich erinnere mich dunkel, dass diese GPO vor vielen Jahren (war das noch mit Server 2003? Oder doch schon 2008?) mal für das Szenario gesorgt hat, dass ein Server "von Geisterhand" immer mal wieder aus war. Nicht hart abgeschaltet, sondern "sauber" heruntergefahren.

Cheers,
jsysde
Mitglied: DerWoWusste
DerWoWusste 17.01.2023 um 22:54:44 Uhr
Goto Top
Update: auf Server 2022 funktioniert alles wie erwartet.
Mitglied: jsysde
jsysde 21.01.2023 um 21:00:45 Uhr
Goto Top
N'Abend.

Auf Server 2019, aktuell gepatcht: Keine Wirkung. Mit zwei VMs getestet, Verhalten bei beiden identisch fehlerhaft.
Mehr Spiel-VMs hab' ich grad net zur Hand.

Cheers,
jsysde
Mitglied: DerWoWusste
DerWoWusste 21.01.2023 um 22:13:17 Uhr
Goto Top
Ja, 2019 hat's. 2016 auch? Hab ich noch nicht getestet, Client OS' auch noch nicht.